深入解析Cookie与Session机制

"深入理解Servlet/JSP之“Cookie和Session原理” 在Web开发中，Cookie和Session是两种常用的技术，用于解决HTTP协议的无状态特性，从而保持用户会话的状态。HTTP协议本身不存储任何关于用户状态的信息，因此，当用户在浏览网页时，每次请求都是独立的。为了解决这个问题，Cookie和Session被引入，它们允许服务器存储并识别用户的特定信息。 一、Cookie Cookie是由服务器端创建并在响应头中发送到客户端（通常是浏览器）的一小段数据。它包含了“键-值”对，用来存储用户的相关信息，如登录状态、用户偏好等。当浏览器发起新的请求时，会自动将已有的Cookie一并发送回服务器。这使得服务器能够识别出请求来自哪个用户，从而实现会话跟踪。 在Servlet中，我们可以通过以下方式操作Cookie： 1. 创建Cookie：使用`new Cookie(String name, String value)`创建一个新的Cookie对象，name是键，value是值。 2. 设置生命周期：通过`setMaxAge(int seconds)`方法，可以指定Cookie的存活时间。若设置为0，则表示删除Cookie；若未设置或设置为负数，则默认随浏览器关闭而失效。 3. 添加Cookie到响应：调用`response.addCookie(Cookie cookie)`将Cookie添加到响应中，发送给客户端。 示例代码中的Servlet展示了如何根据用户的选择（"show"或"add"）来处理Cookie。如果选择"show"，则读取并显示所有Cookie；如果选择"add"，则创建一个名为"cool"，值为"yeah!"的新Cookie，并设置其生命周期为20秒。 二、Session Session是在服务器端维护的一个数据结构，用于存储特定用户会话的数据。与Cookie不同，Session数据不在客户端，因此安全性更高，但同时也意味着服务器需要管理更多的内存资源。每个用户会话都有一个唯一的Session ID，这个ID通常通过Cookie传递给客户端。 1. 创建Session：在Servlet中，可以使用`HttpServletRequest.getSession()`方法创建一个新的Session，或者获取当前请求的Session。 2. 存储数据：通过`HttpSession.setAttribute(String name, Object value)`将数据存储到Session中。 3. 获取数据：使用`HttpSession.getAttribute(String name)`获取Session中的数据。 4. 销毁Session：调用`HttpSession.invalidate()`可结束一个Session。 需要注意的是，Session有其默认的过期时间，如果超过这个时间没有用户活动，Session会被自动清理。此外，过多的Session会消耗服务器资源，因此合理地设置Session过期时间和管理Session非常重要。 总结来说，Cookie和Session都是为了弥补HTTP无状态性的不足，它们各有优势和适用场景。Cookie适合存储较小的、不敏感的数据，并且可以控制客户端的行为；Session更适合存储大量或敏感的数据，但需要服务器管理，且可能导致服务器内存压力增大。在实际开发中，应根据需求灵活选择使用哪种技术。